Wie schütze ich mein WordPress?

|
WordPress gewinnt als Content Management System auf dem weltweiten Markt immer mehr an Beliebtheit. Schon im März 2018 wurden laut t3n über 30 % aller Internetseiten mit WordPress erstellt. Auch andere Statistiken des vergangenen Monats (August 2019) besagen, dass über 40 % Webauftritte in Deutschland mit WordPress gebaut wurden. Diese Beliebtheit hat jedoch auch Schattenseiten. Wie ihr Angreifern den Kampf ansagt und euer WordPress schützt, erkläre ich euch in diesem Beitrag.

Je häufiger eine Anwendung genutzt wird, desto beliebter wird diese auch für Angreifer und Hacker. Glücklicherweise macht es WordPress einem durch seine komfortable Aktualisierung leicht, die Anwendung mit allen Komponenten auf einem aktuellen Stand zu halten. So werden auch permanent Sicherheitslücken geschlossen.

Den Core selbst aktualisiert WordPress sogar automatisch innerhalb einer Version – sofern dies nicht vom Benutzer deaktiviert wurde. Damit ist zumindest der Kern von WordPress im Standardfall immer auf einem aktuellen Stand.

Plugins und Themes – das solltet ihr beachten

Je mehr Plugins verwendet werden, desto größer ist das Risiko möglicher Sicherheitslücken. Zudem geht jedes installierte Plugin zu Lasten der Performance. Ihr solltet auch daran denken, dass Plugins und Themes nicht automatisch aktualisiert werden. Also seid ihr als Seitenbetreiber gefordert, euer WordPress regelmäßig auf verfügbare Updates zu prüfen und diese durchzuführen. 

Mit der steigenden Zahl an Plugins steigt auch das Fehlerrisiko nach einer Aktualisierung. Da kann es in Einzelfällen vorkommen, dass zwei Plugins sich nicht mehr „vertragen“ oder das Theme Probleme macht. Daher solltet ihr vor jedem Update eine Sicherung erstellen, um im Falle eines Falles den vorherigen Zustand wiederherstellen zu können. Auch hierfür gibt es Plugin-Lösungen. Allerdings können diese im Ernstfall zum Problem werden, beispielsweise weil die Sicherung ohne Login im Backend nicht mehr hergestellt werden kann. Daher sollten Sicherungen immer außerhalb von WordPress erfolgen. Dann kann die Anwendung wiederhergestellt werden, auch wenn kein Backend-Zugang mehr möglich ist.

Die Entwickler von WordPress reagieren auf bekannte Sicherheitslücken in der Regel sehr schnell. Bei Plugins und Themes ist dies sehr unterschiedlich und von dem jeweiligen Entwickler abhängig. Es ist keine Seltenheit, dass an einem Tag gleich mehrere Aktualisierungen zur Verfügung stehen. Idealerweise solltet ihr daher täglich euer Backend auf verfügbare Updates prüfen. Sind welche vorhanden, erstellt eine externe Sicherung und installiert am besten umgehend die Updates.

Kann ich einen Crash vermeiden?

Die simple Lösung ist die oben beschriebene Vorgehensweise: Sicherung erstellen, updaten und im Fehlerfall Sicherung einspielen.

Bei einer beliebten Seite mit viel Traffic oder wirtschaftlichem Interesse, kann aber schon eine Downtime von wenigen Minuten hohen Schaden anrichten. In solchen Fällen sollten Updates immer erst in einer Entwicklungsumgebung getestet werden.

Dies ist zwar ein deutlich höherer Aufwand und keine 100%ige Garantie, aber der sicherste Weg, wenn es keine Störungen geben soll! Nach meinen Erfahrungen laufen Updates zu 99 % fehlerfrei. Dennoch würde ich niemals ein Update ohne vorherige Sicherung durchführen!

 

Wie mache ich WordPress sicher?

Eine zeitnahe und permanente Aktualisierung von WordPress, Themes und Plugins ist sicherlich der wichtigste Faktor. Allerdings solltet ihr die folgenden Punkte für ein sicheres WordPress umsetzen.

Benutzername

Klassische Benutzernamen wie „admin“ oder „administrator“ solltet ihr vermeiden. Dadurch haben Angreifer bereits 50 % der Zugangsdaten und es fehlt nur noch das Passwort. Verwendet idealerweise mindestens zwei Benutzer. Einen Benutzer mit administrativen Rechten, der ausschließlich für Installationen und Updates verwendet wird. Und einen zweiten als Redakteur, der ausschließlich für die Erstellung und Veröffentlichung der Inhalte zuständig ist.

Passwort

WordPress generiert bereits ein sicheres Passwort für einen neuen Benutzer. Dieses oder ein vergleichbar starkes Passwort solltet ihr auch verwenden. Einfache Passwörter wie „qwer1234“ können viel zu schnell erraten werden und bieten keinen ausreichenden Schutz. Ein Passwort sollte mindestens aus 8 Zeichen bestehen, Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen enthalten. Um sich das Passwörter merken zu können, ist es hilfreich, einen Satz zu Bilden. Von diesem nutzt ihr jeweils den ersten Buchstaben sowie mindestens eine Ziffer und ein Sonderzeichen z.B. „IlWP@2003!“ → „Ich liebe WordPress seit 2003!“.

Login

Das Backend von WordPress erreicht ihr im Standard mit „/wp-admin“ oder „/wp-login.php“. Ändert ihr dies, schützt ihr euch. Denn viele Angreifer sehen es nicht auf eine einzelne Seite ab, sondern auf die Masse. Ist der Login verändert, geben sie meist schon auf. Für eine Änderung der Adresse könnt ihr ein Plugin nutzen, beispielsweise diese:

https://de.wordpress.org/plugins/wps-hide-login/

Tabellen-Prefix

Im Standard beginnt jede Datenbanktabelle bei WordPress mit „wp_“. Das könnt ihr teilweise bei der manuellen Installation schon ändern – mit entsprechenden Kenntnissen auch im Nachhinein. Dies hilft jedoch nur bei einem sogenannten Databaseinject. Hierbei wird von außen versucht, direkt auf Tabellen zuzugreifen. In den meisten Fällen erfolgen Angriffe jedoch auf Verzeichnisebene und somit kann in der Konfigurationsdatei der Prefix auch ausgelesen werden.

xmlrpc.php sperren

Bei der xmlrpc.php handelt es sich um eine Schnittstelle von WordPress, um Daten mit anderen Seiten auszutauschen. Erfahrungsgemäß kommt dies nur relativ selten zum Einsatz, wird von Angreifern aber bevorzugt genutzt. Daher solltet ihr zumindest den Aufruf dieser Datei über die .htaccess sperren.

Verzeichnisschutz

Die bislang meisten Angriffe erfolgten aufgrund von Sicherheitslücken auf der Verzeichnisebene. Hier wurden zum Beispiel Dateiinhalte in der index.php oder einer anderen Datei verändert. Entzieht man den Dateien und Verzeichnissen das Schreibrecht, kann selbst bei einer Sicherheitslücke keine Manipulation der Dateien erfolgen. Hierbei ist jedoch Vorsicht geboten, sodass ihr weiterhin Bilddateien hochladen und Cachingverzeichnisse nutzen könnt. Dennoch bietet dies nach meinen Erfahrungen in Kombination mit der zeitnahen Aktualisierung den besten Schutz.

Kurzfassung

  • Achtet immer auf ein aktuelles WordPress mit aktuellen Plugins und Themes.
  • Haltet auch eure PHP-Version, die für den Betrieb von WordPress erforderlich ist, immer aktuell.
  • Verwendet einen sicheren Benutzernamen und ein sicheres Passwort und ändert den Login.
  • Sperrt die Schnittstellenfunktion (xmlrpc.php) und entzieht den Verzeichnissen und Dateien die Schreibrechte.

Es gibt noch wesentlich mehr Sicherheitskriterien wie zum Beispiel Regeln für den Header Security oder Sicherheitsplugins mit Firewall und weitere. Dies würde jedoch den Rahmen sprengen und bedarf in der Regel einer guten Projektplanung für eure individuelle Seite.

Solltet ihr Fragen haben, schreibt sie gerne in einem Kommentar. Wir helfen euch gerne weiter!

Ähnliche Artikel:

Zwei Mittwälder verkleidet als Umzugshelfer tragen einen Server, auf dem eine Frau sitzt
mittwald

WordPress umziehen – Gewusst wie

WordPress kann als mächtiges CMS nicht nur für Blogs, sondern ebenso für Onlineshops, Unternehmenswebseiten und ähnliche Projekte genutzt werden. Wird der bisherige ...

Lettern, die für den Buchdruck verwendet wurden
Webentwicklung

Gutenberg: der neue Editor von WordPress

Mit Gutenberg, dem neuen Editor von WordPress, beginnt eine neue Ära. Denn nicht nur das Design ändert sich, sondern auch die Art, damit zu editieren.

Mann tippt auf Laptop und hält gläsernes Schloss
Webentwicklung

Entspannt auf der sicheren Seite – mit WordPress Protect Plus

Mit WordPress Protect Plus von Mittwald könnt ihr eure WordPress Installation entspannt sicher halten. Wir zeigen euch wie.

Menschen legen Puzzle, welches das WordPress Logo zeigt, zusammen
Webentwicklung

WP-CLI: Einfache WordPress Administration über die Kommandozeile

Mit dem Kommandozeilenprogramm WP-CLI lassen sich Aufgaben viel schneller erledigen. Wir erklären, welche nützlichen Kurzbefehle es gibt.

Arbeitsplatz mit WordPress Logo auf Laptop Screen
Webentwicklung

WordPress 5.0 „Bebo“ ist da!

Was es mit dem neuen WordPress Release 5.0, dem Editor und den sonstigen Features auf sich hat, erfahrt ihr hier bei uns im Blog.

Kommentare

Manuel am
Selbstverständlich kann man vorbeugende Maßnahmen treffen, aber passieren kann trotzdem immer etwas Unerwartetes. Hier bietet dieser Beitrag eine recht schöne und verständliche Lösung für den Fall der Fälle eines "White Screen of Death":
https://www.netprofit.de/blog/wordpress-die-website-weist-technische-schwierigkeiten-auf.html
Kristina El-Issa am
Guten Morgen Manuel,
da gebe ich dir recht. Vielen Dank für das Teilen des Artikels.

Einen guten Start in die Woche dir!

Viele Grüße
Kristina